规划安装
本页提供的信息可帮助您规划新安装 适用于 Google Cloud 外的 Kubernetes 工作负载的集群内 Cloud Service Mesh。
自定义控制层面
Cloud Service Mesh 支持的功能因平台而异。我们建议您查看支持的功能,了解您的平台支持哪些功能。某些功能默认处于启用状态,其他功能可以通过创建 IstioOperator 叠加文件视需要启用。运行 asmcli install 时,您可以自定义控制平面
方法是指定 --custom_overlay
选项替换为叠加层文件。我们建议的最佳做法是将叠加文件保存在您的版本控制系统中。
通过
asmcli 目录
包含许多叠加层文件。这些文件包含常见的自定义设置
默认配置。您可以原封不动地使用这些文件,也可以
您可以根据需要对其进行其他更改启用可选的 Cloud Service Mesh 功能需要一些文件。当您运行 asmcli 来验证项目和集群时,系统会下载 anthos-service-mesh 软件包。
使用 asmcli install 安装 Cloud Service Mesh 时,
可以使用 --option 或 --custom_overlay 指定一个或多个叠加层文件。
如果您不需要对 anthos-service-mesh 代码库中的文件进行任何更改,则可以使用 --option,该脚本将从 GitHub 中提取文件。否则,您可以更改叠加文件,然后使用 --custom_overlay 选项将其传递给 asmcli。
选择证书授权机构
根据您的使用场景和平台,您可以选择以下选项之一: 用于颁发证书的证书授权机构 (CA) 双向 TLS (mTLS) certificates:
本部分提供了有关每个 CA 选项及其用例的概要信息。
Mesh CA
除非您需要自定义 CA,否则我们建议您使用 Cloud Service Mesh 证书授权机构,原因如下:
- Cloud Service Mesh 证书授权机构是一项高度可靠的可扩缩服务,针对动态扩缩的工作负载进行了优化。
- 借助 Cloud Service Mesh 证书授权机构,Google 负责管理安全性和可用性 与 CA 后端相关联。
- 借助 Cloud Service Mesh 证书授权机构,您可在集群中依赖单个信任根。
来自 Cloud Service Mesh 证书授权机构的证书包含有关应用的服务的以下数据:
- Google Cloud 项目 ID
- GKE 命名空间
- GKE 服务账号名称
CA Service
除 Cloud Service Mesh 证书授权机构 以外,您也可以将 Cloud Service Mesh 配置为使用 Certificate Authority Service。本指南提供了与 CA Service 集成的机会,建议用于以下使用场景:
- 您需要不同的证书授权机构对不同集群上的工作负载证书签名。
- 您需要将签名密钥备份到代管式 HSM 中。
- 您从事的要是严格监管的行业,且需要遵守法规。
- 您需要将 Cloud Service Mesh CA 链接到自定义企业根证书来为工作负载证书签名。
Cloud Service Mesh 证书授权机构的费用包含在 Cloud Service Mesh 价格中。CA Service 不包含在 Cloud Service Mesh 基础价格中,而是单独计费。此外,CA Service 附带显式 SLA,但 Cloud Service Mesh 证书授权机构没有。
Istio CA
如果满足以下条件,我们建议您使用 Istio CA:
- 您的网格已使用 Istio CA,并且不需要 Cloud Service Mesh 证书授权机构或 CA Service 启用的优势。
- 您需要自定义根 CA。
- 您有一些非 Google Cloud 工作负载,其不接受 Google Cloud 管理的 CA 服务。
准备网关配置
借助 Cloud Service Mesh,您可以选择在 Cloud SQL 中部署和管理网关, 服务网格网关描述了在网格边缘运行的负载均衡器,用于接收传入或传出 HTTP/TCP 连接。网关是 Envoy 代理,可让您精确控制进出网格的流量。
asmcli 不会安装 istio-ingressgateway。我们建议您单独部署和管理控制平面和网关。如需了解详情,请参阅安装和升级网关。